Definições de política de proteção de aplicações para Windows

Este artigo descreve as definições da política de proteção de aplicações (APP) para Windows. As definições de política descritas podem ser configuradas para uma política de proteção de aplicações no painel Definições no centro de administração do Intune quando cria uma nova política.

Pode ativar o acesso de MAM protegido aos dados da organização através do Microsoft Edge em dispositivos Windows pessoais. Esta capacidade é conhecida como MAM do Windows e fornece funcionalidades através de Políticas de Configuração de Aplicações do Intune (ACP), Políticas de Proteção de Aplicações (APP) do Intune, defesa contra ameaças de cliente do Centro de Segurança do Windows e Acesso Condicional à Proteção de Aplicações. Para obter mais informações sobre a MAM do Windows, consulte Proteção de dados para MAM do Windows, Criar uma política de proteção de aplicações MTD para Windows e Configurar o Microsoft Edge para Windows com o Intune.

Existem duas categorias de definições de política de proteção de aplicações para o Windows:

• Proteção de dados
• Verificações de Estado de Funcionamento

Importante

A MAM do Intune no Windows suporta dispositivos não geridos. Se um dispositivo já for gerido, a inscrição MAM do Intune será bloqueada e as definições da APLICAÇÃO não serão aplicadas. Se um dispositivo ficar gerido após a inscrição da MAM, as definições da APLICAÇÃO deixarão de ser aplicadas.

Proteção de dados

As definições de Proteção de dados afetam os dados e o contexto da organização. Enquanto administrador, pode controlar o movimento de dados para dentro e fora do contexto da proteção da organização. O contexto da organização é definido por documentos, serviços e sites acedidos pela conta de organização especificada. As seguintes definições de política ajudam a controlar os dados externos recebidos no contexto da organização e os dados da organização enviados para fora do contexto da organização.

Transferência de dados

Setting	Como usar	Valor padrão
Receber dados de	Selecione uma das seguintes opções para especificar as origens das quais os utilizadores da organização podem receber dados de: Todas as origens: os utilizadores da organização podem abrir dados de qualquer conta, documento, localização ou aplicação no contexto da organização. Sem origens: os utilizadores da organização não podem abrir dados de contas externas, documentos, localizações ou aplicações no contexto da organização. NOTA: para o Microsoft Edge, nenhuma fonte controla o comportamento de carregamento de ficheiros através de arrastar e largar ou da caixa de diálogo de abertura do ficheiro. A visualização e partilha de ficheiros locais entre sites/separadores serão bloqueadas.	Todas as origens
Enviar dados da organização para	Selecione uma das seguintes opções para especificar os destinos para os quais os utilizadores da organização podem enviar dados: Todos os destinos: os utilizadores da organização podem enviar dados da organização para qualquer conta, documento, localização ou aplicação. Sem destinos: os utilizadores da organização não podem enviar dados da organização para contas externas, documentos, localizações ou aplicações a partir do contexto da organização. NOTA: para o Microsoft Edge, nenhum destino bloqueia a transferência de ficheiros . Isto significa que a partilha de ficheiros entre sites/separadores será bloqueada.	Todos os destinos
Permitir cortar, copiar e colar para	Selecione uma das seguintes opções para especificar as origens e destinos que os utilizadores da organização podem cortar, copiar ou colar dados da organização: Qualquer destino e qualquer origem: os utilizadores da organização podem colar dados de e cortar/copiar dados para qualquer conta, documento, localização ou aplicação. Sem destino ou origem: os utilizadores da organização não podem cortar, copiar ou colar dados de ou para contas externas, documentos, localizações ou aplicações de ou para o contexto da organização. NOTA: para o Microsoft Edge, nenhum destino ou blocos de origem cortam, copiam e colam o comportamento apenas no conteúdo Web. Cortar, copiar e colar são desativados a partir de todo o conteúdo Web, mas não dos controlos da aplicação, incluindo a barra de endereço.	Qualquer destino e qualquer origem

Funcionalidade

Setting	Como usar	Valor padrão
Imprimindo dados da organização	Selecione Bloquear para impedir a impressão de dados da organização. Selecione Permitir para permitir a impressão de dados da organização. Os dados pessoais ou não geridos não são afetados.	Permitir

Verificações de Estado de Funcionamento

Defina as condições de verificação de estado de funcionamento da política de proteção de aplicações. Selecione uma Definição e introduza o Valor que os utilizadores têm de cumprir para aceder aos dados da sua organização. Em seguida, selecione a Ação que pretende efetuar se os utilizadores não cumprirem as suas condicionais. Em alguns casos, várias ações podem ser configuradas para uma única configuração. Para obter mais informações, veja Ações de Verificação de Estado de Funcionamento.

Condições da aplicação

Configure as seguintes definições de verificação de estado de funcionamento para verificar a configuração da aplicação antes de permitir o acesso a contas e dados da organização.

Observação

O termo aplicação gerida por políticas refere-se a aplicações que estão configuradas com políticas de proteção de aplicações.

Setting	Como usar	Valor padrão
Período de cortesia offline	O número de minutos que a aplicação gerida por políticas pode executar offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Ações incluem: Bloquear acesso (minutos): o número de minutos em que as aplicações geridas por políticas podem ser executadas offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Quando o período configurado expirar, o aplicativo bloqueará o acesso aos dados da escola ou do trabalho, até que o acesso à rede esteja disponível. O temporizador do período de tolerância Offline para bloquear o acesso a dados é calculado com base na última entrada com o serviço do Intune. Esse formato de configuração de política é compatível com um número inteiro positivo. Apagar dados (dias): após estes dias (definidos pelo administrador) de execução offline, a aplicação exigirá que o utilizador se ligue à rede e reautentica. Se o usuário for autenticado com êxito, ele poderá continuar a acessar seus dados e o intervalo offline será redefinido. Se a autenticação do usuário falhar, o aplicativo realizará um apagamento seletivo dos dados e da conta do usuário. Consulte Como apagar somente dados corporativos de aplicativos gerenciados pelo Intune para obter mais informações sobre quais dados são removidos com um apagamento seletivo. O temporizador do período de tolerância Offline para limpar dados é calculado pela aplicação com base na última entrada com o serviço do Intune. Esse formato de configuração de política dá suporte a um número inteiro positivo. Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.	Bloquear acesso (minutos): 720 minutos (12 horas) Limpar dados (dias): 90 dias
Versão mínima do aplicativo	Especifique um valor para o valor mínimo da versão do aplicativo. Ações incluem: Aviso – o usuário vê uma notificação se a versão do aplicativo no dispositivo não atende ao requisito. Essa notificação pode ser descartada. Bloquear acesso – o usuário tem o acesso bloqueado se a versão do aplicativo no dispositivo não atende ao requisito. Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo. Uma vez que as aplicações têm frequentemente esquemas de controlo de versões distintos entre elas, crie uma política com uma versão mínima da aplicação direcionada para uma aplicação. Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente. Esta definição de política suporta formatos de versão do pacote de aplicações do Windows correspondentes (major.minor ou major.minor.patch).	Nenhum valor predefinido
Versão mínima do SDK	Especifique um valor mínimo para a versão do SDK do Intune. Ações incluem: Bloquear acesso – o usuário terá o acesso bloqueado se a versão do SDK da política de Proteção de Aplicativo do Intune do aplicativo não atender ao requisito. Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo. Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.	Nenhum valor predefinido
Conta desabilitada	Especifique uma ação automatizada se a conta do Microsoft Entra para o utilizador estiver desativada. O administrador pode especificar apenas uma Ação. Não há valor a ser definido para essa configuração. Ações incluem: Bloquear acesso – quando confirmamos que o utilizador foi desativado no Microsoft Entra ID, a aplicação bloqueia o acesso aos dados escolares ou profissionais. Apagar dados – quando confirmarmos que o utilizador foi desativado no Microsoft Entra ID, a aplicação efetuará uma eliminação seletiva da conta e dos dados dos utilizadores. NOTA: Se não for possível confirmar o estado do utilizador devido a conectividade, autenticação ou outro motivo, estas ações (Bloquear acesso e Dados de eliminação) não serão impostas.	Nenhum valor predefinido

Condições do dispositivo

Configure as seguintes definições de verificação de estado de funcionamento para verificar a configuração do dispositivo antes de permitir o acesso a contas e dados da organização. Podem ser configuradas definições semelhantes baseadas em dispositivos para dispositivos inscritos. Saiba mais sobre como configurar as definições de conformidade do dispositivo para dispositivos inscritos.

Setting	Como usar	Valor padrão
Versão mínima do sistema operacional	Especifique um sistema operativo Windows mínimo para utilizar esta aplicação. Ações incluem: Avisar – o utilizador verá uma notificação se a versão do Windows no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada. Bloquear o acesso – o acesso do utilizador será bloqueado se a versão do Windows no dispositivo não cumprir este requisito. Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo. Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente. Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision. Para localizar a versão do Windows, abra uma Linha de Comandos. A versão é apresentada na parte superior da janela da Linha de Comandos. Um exemplo do formato de versão a utilizar é 10.0.22631.3155. Tenha em atenção que, se utilizar o winver comando, só verá a Compilação do SO (por exemplo, 22631.3155), que não é o formato correto a utilizar.
Versão máxima do sistema operacional	Especifique um sistema operativo Windows máximo para utilizar esta aplicação. Ações incluem: Avisar – o utilizador verá uma notificação se a versão do Windows no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada. Bloquear o acesso – o acesso do utilizador será bloqueado se a versão do Windows no dispositivo não cumprir este requisito. Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo. Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente. Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Nível máximo permitido de ameaça ao dispositivo	As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD. Ações incluem: Bloquear acesso – o usuário será impedido de acessar se o nível de ameaça determinado pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) no dispositivo do usuário final não atender a esse requisito. Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo. Para obter mais informações sobre como usar essa configuração, confira Habilitar MTD para dispositivos não registrados.

Informações adicionais

Para obter mais informações sobre a APLICAÇÃO para dispositivos Windows, consulte os seguintes recursos:

• Somente políticas de proteção de aplicativos
• Proteção de dados para MAM do Windows
• Criar uma política de proteção de aplicações MTD para Windows
• Adicionar uma política de configuração de aplicações para aplicações geridas em dispositivos Windows
• Configurar o Microsoft Edge para Windows com o Intune
• Exigir uma política de proteção de aplicações em dispositivos Windows